Come installare, configurare Tripwire IDS su Debian 10

IDS Tripwire è affidabile sistema di rilevamento delle intrusioni che identifica le modifiche apportate a file e directory specificati. Tripwire IDS Rileva le intrusioni analizzando i sistemi operativi e le applicazioni, l'utilizzo delle risorse e altre attività del sistema.

Alla fine di questa guida, lo saprai come installare Tripwire IDS sul tuo Debian 10 Buster sistema operativo.

Pre-requisiti

  • Sistema operativo consigliato: Debian 10 Buster
  • Account utente: Un account utente con accesso sudo o root.

Prima di iniziare, assicurati che il tuo sistema operativo Debian 10 sia aggiornato:

sudo apt update && sudo apt upgrade -y

pubblicità


Come installare

Tripwire è un pacchetto predefinito nei repository di Debian, il che lo rende ideale e facile da installare. Per iniziare l'installazione di Tripwire, eseguire il seguente comando:

sudo apt install tripwire -y

Digitare e immettere (Y) per continuare l'installazione.

come installare tripwire su debian 10

All'inizio dell'installazione, verrà visualizzata una schermata di configurazione postfix pop-up come mostrato di seguito:

come installare tripwire su debian 10

Procedere premendo (TAB) per evidenziare il (Ok) selezione e premi invio per continuare la configurazione dell'installazione.

come installare tripwire su debian 10

Nella schermata successiva, seleziona l'opzione di configurazione postfix che si adatta alle tue esigenze e premi (ACCEDERE) per passare alla schermata successiva di creazione di un nome di sistema.

come installare tripwire su debian 10

Ora puoi fornire il tuo nome e-mail di sistema e premere (ACCEDERE) per passare alla schermata successiva di immissione della passphrase della chiave del sito. Prima della passphrase, noterai un avviso come di seguito:

come installare tripwire su debian 10

Questo è un avvertimento generico che durante l'installazione procede, la schermata successiva in cui imposti la tua passphrase verrà temporaneamente decrittografata, portando a un potenziale sfruttamento. Questo non dovrebbe interessare la maggior parte delle persone se il tuo sistema è nuovo e, meglio ancora, esistente con una configurazione sicura.

I dispositivi installati su reti comuni in cui sono presenti scappatoie e altri utenti o malware o vulnerabilità vengono attivamente sfruttati devono preoccuparsi di questo.

Premi tab per selezionare (Ok) e colpisci (ACCEDERE) per passare alla schermata della passphrase:

come installare tripwire su debian 10

Se non vuoi impostare una passphrase, premi il tasto tab e seleziona (No), altrimenti, se lo fai, premi (INVIO) su (SI) per passare alla schermata successiva, che è un'altra copia dell'avviso precedente che hai visto.

come installare tripwire su debian 10

Come puoi vedere, spiega il processo di utilizzo di una coppia di chiavi per accedere a vari file e anche l'avviso sul processo di installazione della chiave crittografata durante l'installazione. Premi il tasto TAB per selezionare (Ok) e colpisci (ACCEDERE) per continuare con la passphrase di creazione.

come installare tripwire su debian 10

Premere il tasto (ACCEDERE) tasto per continuare a ricostruire il file di configurazione di Tripwire.

come installare tripwire su debian 10

Inserisci la passphrase del tuo sito e poi premi (TAB) tasto e invio per continuare con la schermata di conferma:

come installare tripwire su debian 10

Ridigita la passphrase del sito e premi (TAB) tasto per selezionare (Ok) e premere (ACCEDERE) per passare alla schermata successiva, che ti chiederà di ricostruire tripwire, ma questa volta con la seconda opzione chiave, la chiave locale:

come installare tripwire su debian 10

Premere il tasto (ACCEDERE) key per passare alla schermata di password della chiave locale tripwire successiva:

come installare tripwire su debian 10

Come prima con la passphrase della chiave del sito, premere (ACCEDERE) per passare alla schermata di digitazione successiva e confermare la tua passphrase come hai fatto con il (chiave del sito). Una volta completato, otterrai lo screenshot finale di Tripwire installato:

come installare tripwire su debian 10

Premere il tasto (ACCEDERE) chiave per l'ultima volta per completare l'installazione.

Come configurare

Ora il lungo viaggio dei pop-up infiniti è completo e ora è il momento di configurare le basi della tua installazione di Tripwire sul tuo sistema operativo Debian.

La prima cosa che devi fare è generare le chiavi Tripwire e inizializzare il database. Puoi usare qualsiasi editor di testo su Debian per configurare Tripwire. Per la guida, useremo nano.

Vai alla directory e richiama il tuo (twcfg.txt) file di configurazione eseguendo il seguente comando:

cd /etc/tripwire/ && sudo nano twcfg.txt
come installare gli ID tripwire debian 10

Le impostazioni predefinite sono ok qui e si consiglia di modificare l'impostazione predefinita (REPORTLEVEL=3) in (REPORTLEVEL=4). Una volta fatto, premi (CTRL+O) per salvare allora (CTRL+X) uscire.

Ora genererai un nuovo file di configurazione eseguendo il seguente comando da terminale:

sudo twadmin -m F -c tw.cfg -S site.key twcfg.txt

Ti verrà richiesta la passphrase del tuo sito come nell'esempio seguente, inserisci la passphrase e premi invio:

come installare gli ID tripwire debian 10

Esempio di output:

come installare gli ID tripwire debian 10

Ora creerai il seguente file (twpolmake.pl) file per ottimizzare la politica di Tripwire utilizzando l'editor di testo nano.

sudo nano twpolmake.pl

Quindi inserisci il seguente codice nel tuo file:

#!/usr/bin/perl
$POLFILE=$ARGV[0];

open(POL,"$POLFILE") or die "open error: $POLFILE" ;
my($myhost,$thost) ;
my($sharp,$tpath,$cond) ;
my($INRULE) = 0 ;

while () {
     chomp;     if (($thost) = /^HOSTNAME\s*=\s*(.*)\s*;/) {
         $myhost = `hostname` ; chomp($myhost) ;
         if ($thost ne $myhost) {             
           $_="HOSTNAME=\"$myhost\";" ;         
         }
     }
         elsif ( /^{/ ) {
          $INRULE=1 ;

     }   elsif ( /^}/ ) {
          $INRULE=0 ;
     }
         elsif ($INRULE == 1 and ($sharp,$tpath,$cond) = /^(\s*\#?\s*)(\/\S+)\b(\s+->\s+.+)$/) {
          $ret = ($sharp =~ s/\#//g) ;
          if ($tpath eq '/sbin/e2fsadm' ) {
          $cond =~ s/;\s+(tune2fs.*)$/; \#$1/ ;
           }
           if (! -s $tpath) {
             $_ = "$sharp#$tpath$cond" if ($ret == 0) ;
           }
         else {
             $_ = "$sharp$tpath$cond" ;
           }
     }
    print "$_\n" ;
}
close(POL) ;

Una volta completato, salva il file (CTRL+O) quindi esci dall'editor nano (CTRL+X). Quindi, esegui il comando:

sudo perl twpolmake.pl twpol.txt > twpol.txt.new / 
sudo twadmin -m P -c tw.cfg -p tw.pol -S site.key twpol.txt.new

Vedrai il seguente output:

Please enter your site passphrase:  
Wrote policy file: /etc/tripwire/tw.pol

Ora creerai un nuovo database di Tripwire eseguendo il seguente comando nel tuo terminale:

sudo tripwire -m i -s -c tw.cfg

Esempio di output:

Please enter your local passphrase:
### Warning: File system error.
### Filename: /var/lib/tripwire/debian10.twd
### No such file or directory ### Continuing...

Nota, per visualizzare il database generato, utilizzare il seguente comando:

sudo twprint -m d -d /var/lib/tripwire/debian10.twd

Esempio di output:

Open Source Tripwire(R) 2.4.3.7 Database 
Database generated by:        root 
Database generated on:        Tues 14 July 2021 08:06:19 AM UTC 
Database last updated on:     Never =============================================================================== 
Database Summary:  =============================================================================== 
Host name:                         debian10 Host IP address:              45.58.38.142 
Host ID:                      None 
Policy file used:             /etc/tripwire/tw.pol 
Configuration file used:      /etc/tripwire/tw.cfg 
Database file used:           /var/lib/tripwire/debian10.twd 
Command line used:            tripwire -m i -s -c tw.cfg  =============================================================================== 
Object Summary:  =============================================================================== 
------------------------------------------------------------------------------- 
# Section: Unix File System 
-------------------------------------------------------------------------------

Per mantenere aggiornato il database IDS di tripwire che hai creato, esegui il seguente comando:

sudo tripwire --update --accept-all

Esempio di output:

### Error: File could not be opened. 
### Filename: /var/lib/tripwire/report/debian10-20210509-084141.twr 
### No such file or directory 
### Exiting...

Ora, è una buona idea testare il sistema tripwire eseguendolo. Esegui il comando per farlo:

sudo tripwire -m c -s -c /etc/tripwire/tw.cfg

Tripwire archivia i suoi rapporti nella posizione predefinita in (/var/lib/tripwire/report/):

cd /var/lib/tripwire/report/ && ls

Nota se desideri rivedere qualsiasi rapporto che si trova nella directory. Utilizzare il seguente comando di stampa:

sudo twprint -m r -t 4 -r /var/lib/tripwire/report/<report file name>.twr

pubblicità


Come verificare

Ora hai installato e configurato il tuo sistema tripwire, ed è meglio fare alcuni test rapidi per assicurarti che il tripwire funzioni correttamente a questo punto. Il modo ideale è creare alcuni file ed eseguire il tripwire su di essi per rilevare i file.

Per prima cosa, crea alcuni file:

sudo touch test1 test2 test3

Il passaggio successivo consiste nell'eseguire Tripwire per assicurarsi che Tripwire possa rilevare correttamente i file:

sudo tripwire --check --interactive

Se non hai errori nel tuo IDS di Tripwire, dovresti vedere i file appena creati nel seguente output:

produzione

Nota, puoi anche controllare i report generati in qualsiasi momento eseguendo il seguente comando:

sudo twprint --print-report --twrfile /var/lib/tripwire/report/debian10-20210509-084636.twr

Come impostare il rapporto Cronjob

Per impostare un cronjob per avere rapporti automatici negli orari desiderati, digita il seguente comando:

sudo crontab -e

Ora crea il tempo desiderato in cui desideri eseguire il rapporto. Se non sei sicuro di come impostare un orario, usa Crontab.Guru.

Esegui ogni 12 ore esempio:

00 */12 * * * /usr/sbin/tripwire --check

I report verranno generati e archiviati nella posizione del file(/var/lib/tripwire/report/).


pubblicità


Commenti e Conclusione

Per arrotondare le cose, hai installato e configurato Tripwire IDS su Debian 10 Buster. Nel complesso, gli hacker di solito cercano di contaminare un sistema dirottato con trojan, backdoor e file manipolati. Tripwire aiuta a prevenire questo problema crittografando le informazioni (checksum, dimensioni dei file, Mtime, ctime, inode, ecc.) e directory e file importanti e memorizzando le informazioni in un database.

Se hai domande, sentiti libero di lasciare un commento qui sotto.

Lascia un tuo commento